W razie naruszenia przepisów rozporządzenia RODO administracja jest dużo łagodniej traktowana niż przedsiębiorcy. Spór o to może trafić do Europejskiego Trybunału Sprawiedliwości UE.
Zgodnie z polską ustawą o ochronie danych osobowych podmioty z sektora administracji publicznej mogą zapłacić maksymalnie 100 tys. zł (instytucje kultury – do 10 tys. zł), przedsiębiorcy zaś nawet 20 mln euro lub 4 proc. obrotu z roku poprzedzającego naruszenie. Część ekspertów zastanawia się, czy tego typu rozbieżność może być oceniona przez Komisję Europejską jako niezgodna z RODO. Postanowiliśmy więc rozwiać te wątpliwości i wystąpiliśmy o stanowisko do unijnego organu.
Przedstawiciele biura prasowego KE odpowiedzieli: „RODO pozwala państwom członkowskim ustalić, czy i w jakim zakresie można nakładać kary administracyjne na organy publiczne. Prawo krajowe może więc nawet zwolnić organy publiczne całkowicie z konieczności zapłaty kar administracyjnych lub ustanowić kary niższe, niż maksymalne, przewidziane w rozporządzeniu RODO”.
Zbyt duża dysproporcja
Doktor Paweł Litwiński, adwokat w kancelarii Barta Litwiński, związany z Instytutem Allerhanda, uważa pomysł niższych kar dla instytucji publicznych za dobry i jak najbardziej zgodny z RODO. – Wszak wyższe kary nakładane w sektorze publicznym nie miałyby większego sensu, bo byłoby to w praktyce i tak przelewanie z jednego konta administracji publicznej na drugie – mówi dr Litwiński.
– Być może, ale już pieniądze nie byłyby w kieszonce np. dyrektora takiego publicznego szpitala. Może nauczyłoby to zarządzających mieniem państwowym, że trzeba dbać o ochronę danych osobowych. Jeśli będziemy akceptowali, że państwo może naruszać nasze prawa, to nigdy się tego nie oduczy – ripostuje radca prawny Andrzej Lewiński, zastępca GIODO w latach 2006–2016, obecnie prezes Fundacji im. Józefa Wybickiego oraz przewodniczący komitetu ds. ochrony danych osobowych Krajowej Izby Gospodarczej. Zdaniem eksperta, tak duża dysproporcja w karach może naruszać konstytucję i zawarte w niej prawo do równości. – Przecież nie poczujemy się lepiej, jeżeli nasze dane wyciekną do sieci z systemu internetowego teatru, a nie komercyjnej firmy – wskazuje mec. Lewiński. I dodaje, że różnicowanie kar może prowadzić do absurdalnych sytuacji, gdy w jednym budynku będzie znajdował się szpital prywatny i publiczny. W przypadku ataku hakerskiego na przestarzałe infrastruktry sieciowe skutki będą podobne: dojdzie do wycieku danych. Tylko że wówczas właściciel prywatnego szpitala zapłaci kilkusetkrotnie wyższą karę za dokładnie to samo przewinienie.
Skarga do trybunału
Mecenas Andrzej Lewiński mówi, że najprawdopodobniej zaskarży opisywaną dysproporcję między karami dla przedsiębiorców i instytucji publicznych do Europejskiego Trybunału Sprawiedliwości UE.
To zdaniem mec. Lewińskiego nie wszystko, co należy oddać pod osąd trybunału. Ekspert krytycznie odnosi się także do przyjętej w rodzimej ustawie o ochronie danych osobowych zasady, że podmiot realizujący zadania publiczne nie ma obowiązku informowania osób o zmianie celu przetwarzania, o pozyskaniu danych ani odpowiadania na zapytanie, czy i jakie dane przetwarza, jeżeli jest to niezbędne do realizacji celu publicznego lub naruszyłoby to ochronę informacji niejawnych. – Moim zdaniem to naruszenie prawa do informacji osób fizycznych, których dane osobowe są przetwarzane. A to kwalifikuje tę sprawę do rozpatrzenia przez europejski trybunał – uważa mec. Andrzej Lewiński.
